Qnap активизировала усилия по устранению уязвимостей в своих устройствах NAS

После того как специалисты из WatchTowr Labs обнаружили и опубликовали данные о критической уязвимости CVE-2024-27130, компания Qnap оперативно выпустила необходимые обновления для своих систем NAS. Этот баг позволял удаленно запускать код на устройствах, что вызвало серьезные опасения по поводу безопасности данных.

В ходе полного аудита своих продуктов Qnap QTS, QuTSCLoud и QTS Hero, аналитики выявили всего 15 уязвимостей, из которых до последнего времени оставались открытыми 11. Эксплойт для одной из уязвимостей был опубликован в интернете, что добавило давления на компанию по скорейшему решению проблемы.

Недавно выпущенное программное обеспечение QTS 5.1.7.2770 и QuTS hero h5.1.7.2770 исправило не только CVE-2024-27130, но и другие четыре уязвимости, отмеченные WatchTowr. В ответ на критику, связанную с замедленным реагированием на угрозы, Qnap объявила о намерении оптимизировать процессы разработки и выпуска патчей. Компания теперь стремится обрабатывать и исправлять критические угрозы в течение 45 дней с момента их подтверждения.

Qnap также уточнила, что использование уязвимости CVE-2024-27130 было сложным на большинстве систем, благодаря включенной функции ASLR, которая затрудняет проведение успешных атак.